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Sicherheitsüberprüfung von Netzelementen durch das Bundesamt für Sicherheit 
in der Informationstechnik 


Vorbemerkung der Fragesteller 

Einem starken Datenschutz muss nach Auffassung der Fragesteller in Zeiten der 
Digitalisierung und der damit einhergehenden einfacheren Verbreitung und 
Missbrauch von sensiblen Daten ein hoher Stellenwert eingeräumt werden. Die 
Fragesteller vertreten die Ansicht, dass bei sensibler Netzinfrastruktur sicherzu¬ 
stellen ist, dass die digitale Souveränität gewahrt bleibt. Nach Ansicht der Fra¬ 
gesteller gehört Telekommunikation (unter anderem Mobilfunk- und Glasfaser¬ 
netze) zur kritischen Infrastruktur des Landes. 

Die Systeme und Netzelemente von Huawei Technologies Co. Ltd. und 
ZTE Corp. wurden deshalb bei mehreren befreundeten Regierungen für den 
weiteren Ausbau in kritischen Infrastrukturen ausgeschlossen (www.faz.net/ 
aktuell/wirtschaft/diginomics/japan-verbietet-regierungsauftraege-fuer-huawei- 
und-zte-15929277.html). 

Das Auswärtige Amt und der Bundesnachrichtendienst sind jedoch nach um¬ 
fangreicher Prüfung des Sachverhaltes nun ebenfalls zu der Überzeugung ge¬ 
kommen, dass die Systeme und Netzelemente von Fiuawei Technologies Co. Ltd. 
und ZTE Corp. nicht in kritischen Infrastrukturen verbaut werden dürfen 
(www.handelsblatt.com/politik/deutschland/5g-ausbau-bnd-und-auswaertiges- 
amt-warnen-vor-chinas-macht-ueber-huawei/23991388.html?ticket=ST-l 0237 
47-dXgmgKdP9ZblgFigrRhbF-ap 1). 

Das Bundesamt für Sicherheit und Information (BSI) entgegen sieht immer 
noch keinen Anlass, die Systeme und Netzelemente von Fiuawei Techno¬ 
logies Co. Ltd. für den weiteren Ausbau auszuschließen, weil es diese für sicher 
hält. Für so gravierende Entscheidungen wie einen Bann bräuchte man Belege. 
In einem extra von Fiuawei Technologies Co. Ltd. eingerichtetem Labor könne 
das BSI die Sicherheit überprüfen. Das BSI hat mitgeteilt, dass bislang keine 
Unsicherheiten oder Bedrohungen festgestellt wurden (www.spiegel.de/ 
netzwelt/netzpolitik/5g-netzausbau-bsi-spricht-sich-gegen-huawei-boykott- 
aus-a-1243708.html, www.computerbild.de/artikel/cb-News-Internet-5G- 
Ausbau-Deutschland-Fiuawei-Spionage-22952595.html). 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern, fiir Bau und Heimat 
vom 1. April 2019 übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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Medienberichten zufolge verständigten sich hochrangige Regierungsvertreter 
jedoch darauf, die Sicherheitsanforderungen an die Netzinfrastruktur zu ver¬ 
schärfen. Diese sollen von der Bundesnetzagentur gemeinsam mit dem BSI zeit¬ 
nah vorgelegt werden; unter anderem soll eine Verpflichtung zur Zertifizierung 
des verwendeten Equipments durch das BSI vorgesehen sein (www.zeit.de/ 
news/2019-02/14/eu-sicherheitskommissar-wamt-vor-chinesischer-it-dominanz- 
190214-99-989604, www.teltarif.de/huawei-5g-spionageverdacht-bundesregierung/ 
news/75493.html). 

Es besteht ein breiter Konsens unter den Experten, dass Huawei Technolo¬ 
gies Co. Ltd. bei dem Entwicklungstand der 5G-Mobilfunksysteme dem Markt 
über ein Jahr voraus ist. So ist der ehemalige Präsident des Bundesnachrichten¬ 
dienstes, Gerhard Schindler, der Ansicht „Wir sind also gar nicht in der Lage, 
zu beurteilen, was da eingebaut wird. Es sind daher Szenarien denkbar, dass im 
Krisenfall unser Netz abgeschaltet wird, worauf wir nicht vorbereitet sind.“ 
(www.n-tv.de/wirtschaft/Frueherer-BND-Chef-warnt-vor-Huawei-article2085 
5160.html). 

1. Wie kann das BSI die Systeme und Netzelemente von Huawei Techno¬ 
logies Co. Ltd. prüfen, für sicher erklären und zertifizieren, wenn es in 
Deutschland kaum Entwickler und Experten gibt, die ebenfalls diesen Vor¬ 
sprung in dieser Technologie - plus der erforderlichen Erfahrung hierzu, die 
Sicherheit zu prüfen - haben, um das beurteilen zu können? 

Die Zertifizierung des Bundesamtes für Sicherheit in der Informationstechnik 
(BSI) erfolgt nach dem erprobten Schema unter Einbeziehung privater Prüfstel¬ 
len, die vom BSI lizenziert sind (www.bsi.bund.de/zertifizierung). 


2. Wie viele Entwickler und Experten, die den benötigten Anforderungen ge¬ 
nügen, gibt es nach Kenntnis der Bundesregierung in Deutschland? 

Hierzu sind der Bundesregierung keine Erhebungen bekannt. 


3. Wie war es möglich, innerhalb des BSI umfangreiches Personal mit so hoher 
Expertise, die nach Einschätzung der Fragesteller ja noch über dem von 
Huawei Technologies Co. Ltd. liegen muss, in so kurzer Zeit aufzubauen? 

a) Seit wann arbeitet dieses Personal mit dieser hohen Expertise für das BSI? 

b) Wurde dieses Personal vom BSI ausgebildet, hat es sich die Expertise 
während der Tätigkeit für das BSI erarbeitet, oder wurde die Expertise 
„eingekauft“? 

Die Fragen 3 bis 3b werden gemeinsam beantwortet. 

Die Expertise des BSI-Personals entspricht den Anforderungen. Die Personal¬ 
stärke des BSI wird den jeweiligen Anforderungen entsprechend angepasst. 
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4. Da solche Experten nach Ansicht der Fragesteller in der Wirtschaft fehlen 
und hohe Einkommen erzielen, stellt sich die Frage, was die Prüfung eines 
einzigen Netzelementes von Fluawei Technologies Co. Ltd. kostet, bis alle 
Tests durchlaufen sind, und ein Netzelement von Fluawei Technologies Co. Ltd. 
als sicher erklärt werden kann? 

a) Welche Personalkosten fallen hierbei an (bitte getrennt nach Besoldungs¬ 
stufen und Planstellen auflisten)? 

b) Welche weiteren Kosten, neben Personalkosten, fallen bei der Überprü¬ 
fung eines einzigen Netzelementes an (bitte einzeln auflisten)? 

Die Fragen 4 bis 4b werden gemeinsam beantwortet. 

Diese Frage kann vor Festlegung der Erweiterung des Katalogs an Sicherheitsan¬ 
forderungen für den Betrieb von Telekommunikationsnetzen nicht beantwortet 
werden, da der Bedarf an Zertifizierung und Standardisierung noch nicht ab¬ 
schließend festgelegt wurde. 


c) Wer trägt diese Kosten? 

Die Kosten für Zertifizierungsverfahren trägt der Antragsteller, bei Produkten ist 
das üblicherweise der Flersteller. Die Kosten sind der Kostenverordnung für 
Amtshandlungen des BSI zu entnehmen. 


5. Wer hat das BSI beauftragt, bei Bauteilen des asiatischen Flerstellers Fluawei 
Technologies Co. Ltd. zu überprüfen, ob die Sicherheitsfreigabe dieser ein¬ 
zelnen Netzelemente für den Einsatz in deutscher kritischer Infrastruktur er¬ 
teilt werden kann? 

a) Flandelt es sich um einen Regelauftrag, bei dem alle Komponenten aller 
Flersteller überprüft werden? 

b) Wie oft werden Komponenten geprüft? 

c) Wird nach einem Firmwareupdate erneut geprüft? 

Die Fragen 5 bis 5c werden gemeinsam beantwortet. 

Die Erteilung einer Sicherheitsffeigabe für den Einsatz von Komponenten in Kri¬ 
tischer Infrastruktur ist generell nicht gesetzlich vorgesehen. Eine derartige ver¬ 
pflichtende Prüfung durch BSI findet derzeit nicht statt. Betreiber von öffentli¬ 
chen Telekommunikationsnetzen sind verpflichtet, technische Schutzmaßnahmen 
nach § 109 des Telekommunikationsgesetzes (TKG) umzusetzen. Flierzu hat die 
Bundesnetzagentur in Abstimmung mit dem BSI erste Eckpunkte erstellt und am 
7. März 2019 veröffentlicht. Diese sehen eine Überprüfüng von kritischen Kem- 
komponenten von beim BSI anerkannten Prüfstellen und eine Zertifizierung 
durch das BSI vor. Details zur Ausgestaltung sind in der Bearbeitung. 

Im Zuge des Aufbaus von 5G-Netzen ist auch geplant, im Rahmen der laufenden 
Novellierung des Telekommunikationsgesetzes den § 109 zu überarbeiten und 
um zusätzliche verbindliche Sicherheitsanforderungen zu ergänzen. 
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6. Wo finden die Überprüfungen der Netzelemente statt? 

a) Wie viele Tests sind nach Kenntnis der Bundesregierung im Labor von 
Huawei durchgeführt worden (bitte einzeln nach Datum auflisten)? 

b) Wie viele Tests sind nach Kenntnis der Bundesregierung an anderen 
Standorten durchgeführt worden (bitte einzeln nach Datum auflisten)? 

Die Fragen 6 bis 6b werden gemeinsam beantwortet. 

Diese Daten werden vom BSI nicht erfasst. Für mögliche zukünftige ver¬ 
pflichtende Zertifizierungen wird auf die Antwort zu Frage 5 verwiesen. 


7. Wie viele Mittel wurden in die Standorte aus Frage 6 investiert (bitte ge¬ 
trennt nach Einzelposten und Förderungen auflisten)? 

Zu diesen privatwirtschaftlichen Investitionen liegen keine Informationen vor. 


8. Wie viele BSI-Mitarbeiter und wie viele Jahre des Testens wären nach Ein¬ 
schätzung der Bundesregierung notwendig, um ein 5G-Netzelement der 
Huawei Technologies Co. Ltd. vollständig zu verstehen, damit ein „Kill 
Switch“, oder unfreundlicher Informationsabfluss ausgeschlossen werden 
kann? 

Wären diese BSI-Mitarbeiter nach Ansicht der Bundesregierung dann nicht 
auch in der Lage, selbst diese 5G-Netzelemente herzustellen, eine Entwick¬ 
lung, die nach Einschätzung der Fragesteller in Asien hunderte Mannjahre 
Entwicklungszeit benötigt hat? 

Die genauen Vorgaben für die zukünftig notwendigen Zertifizierungen von kriti¬ 
schen Kernkomponenten werden noch entwickelt. Auf die Antwort zu Frage 5 
wird verwiesen. 

9. Prüft das BSI jetzt erst kurz vor dem Einsatz zum ersten Mal die Komponen¬ 
ten? 

Gibt es einen Prozess, um mit „Sicherheit by Design“ auch stufenweise Ent¬ 
wicklungsstadien nach dem Stand der Technik hierzu abnehmen zu können? 

Ziel des BSI ist grundsätzlich eine Prüfung vor dem Einsatz. Die Vorgaben für 
die zukünftig geplanten notwendigen Zertifizierungen von kritischen Kernkom- 
ponenten werden derzeit noch entwickelt. Auf die Antwort zu Frage 5 wird ver¬ 
wiesen. 

Ja, einen solchen Prozess gibt es. 


10. Welche Tests wurden an 2G-, 3G- und 4G-Komponenten vom BSI durchge¬ 
führt (bitte getrennt nach Datum auflisten)? 

Welche Erfahrungen aus diesen Prüfungen sind in die Überprüfungen der 
5G-Komponenten geflossen? 

Eine systematische Überprüfung von Infrastrukturkomponenten für Mobilfunk¬ 
anwendungen wurde in der Vergangenheit nicht durchgeführt. 

Jedoch hat das BSI in der Vergangenheit diverse Zertifizierungsverfahren nach 
Common Criteria für Netzwerk- und Kommunikationsprodukte durchgeführt. 

Darunter finden sich auch Zertifizierungsverfahren zu Produkten, die für einen 
Einsatz im Bereich 5G-Mobilfunkstandard in Frage kommen. 



Deutscher Bundestag - 19. Wahlperiode 


-5- 


Drucksache 19/9041 


Eine nach Datum getrennte Liste ist auf der BSI-Homepage öffentlich einsehbar: 
www.bsi.bund.de/DE/Themen/ZertifiziemngundAnerkennung/Produktzertifizierung/ 
ZertifiziemngnachCC/ZertifizierteProdukte/Netzwerkprodukte/Netzwerkprodukte_ 
node.html. 


11. Ist die Bundesregierung der Ansicht, dass durch die vom BSI durchgeführten 
Prüfungen eine ausreichend hohe Sicherheit gegeben ist, um die überprüften 
Komponenten in kritischer Infrastruktur einzusetzen? 

Auf die Antwort zu Frage 5 wird verwiesen. 
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